OpenID ist ein Identitätsverfahren, das (nicht nur) an dieser Stelle ansetzt: ein dezentrales, benutzerorientiertes Identitätssystem. Dezentral heißt in dem Fall, dass man nicht auf einen Anbieter festgelegt ist, dem man seine Benutzerdaten anvertraut. Man kann sogar seinen eigenen OpenID-Server betreiben. Das benutzerorientierte bei OpenID ist die Tatsache, dass der Benutzer Herr über seine Accounts bleibt. Er entscheidet, welchen Seiten er welche Informationen zur Verfügung stellt und kann auch im Nachhinein diesen das Vertrauen entziehen.

Wie funktioniert OpenID?

Man entscheided sich für einen OpenID-Server-Anbieter (z.B. MyOpenID), erstellt seinen Account und bekommt seine OpenID-URL zugewiesen (http://username.myopenid.com). Mit dieser URL kann man sich auf Webseiten, die OpenID unterstützen, anmelden. Einfach die URL in das dafür vorgesehene Formular eingeben und abschicken. Man wird zum OpenID-Server-Anbieter weitergeleitet und muss sich dort authentifizieren und wird gefragt, ob man der anfragenden Seite die Accountdaten übermitteln soll. Bestätigt man dies, wird man wieder zurück zur Seite, bei der man sich anmelden möchte, geleitet. Hat man zusätzlich gesagt, dass man ab sofort dieser Seite vertrauen kann, muss man bei künftigen Besuchen beim Login nur noch seine OpenID-URL angeben. Die Authentifizierung findet dann automatisch statt.

Vor- und Nachteile von OpenID

Größter Vorteil von OpenID ist das Single-Sign-On-Verfahren, mit dem man sich nach einmaliger Authentifizierung zukünftig nicht mehr um die Identifizierung seines Accounts kümmern muss. Die offene, dezentrale Struktur bietet sogar jedem die Möglichkeit eigene OpenID-Server zu betreiben.

Und darin sehe ich auch die größte Schwachstelle des Systems. Nicht nur aus Anwendersicht, sondern auch als Webseitenbetreiber, der OpenID zur Authentifizierung einsetzt: Identitätsdiebstahl. Da man bei der Anmeldung zur Website seines OpenID-Servers weitergeleitet wird, könnten bösartige Personen auf die Idee kommen, eine exakt gestaltete Kopie dieser Seite anzulegen, um Username und Passwort mit einer sogenannten Phishingattacke zu stehlen. Und mit diesen Daten hat man Zugriff auf alle Zugänge in diesem OpenID-Account. Als Seitenbetreiber ist man auf der anderen Seite "gezwungen" den übermittelten Daten zu vertrauen. Ich habe mich jetzt testweise noch nicht bei vielen Seiten über OpenID angemeldet, aber bisher hat keine Seite mittels Double-Opt-In-Verfahren die Richtigkeit meiner E-Mail-Adresse überprüft.

Weitere Probleme sehe ich in der Usability (man wird bei der Anmeldung auf eine andere Seite weitergeleitet, die man zwar kennt, aber man ist es doch gewöhnt während der Registrierung auf einer Seite zu bleiben), der Privatsspähre (was hindert meinem OpenID-Serverbetreiber daran, Bewegungsprofile von mir anzulegen?) und der Abhängigkeit in der Verfügbarkeit (wenn mein OpenID-Server nicht erreichbar ist/nicht mehr existiert, habe ich keinen Zugriff auf meine Identitäten).

OpenID und TYPO3

TYPO3 hat mit der Extension naw_openid eine funktionierende Integration des OpenID-Systems. Die Extension regelt die Anmeldung, die Verbindung des OpenID-Accounts mit schon bestehenden Frontendusern sowie die Erstellung von neuen Usern. Beim Testen ist mir nur aufgefallen, dass in der aktuellen Version (0.1.5) nicht die Abhängigkeit mit der Extension sr_feuser_register integriert ist. Ich hatte das Problem, dass mein Test-OpenID-Account den Parameter Gender übergeben hat, dieses Feld sich aber nicht in der Standard-fe_user-Tabelle befindet. Erst mit der Installation von sr_feuser_register war es mir möglich, bei der ersten Anmeldung auch einen neuen Useraccount in TYPO3 anlegen zu lassen.

Update: auf der Website von Thomas gibt es mehrere Screencasts, die sich mit OpenID und der Integration in TYPO3 beschäftigen. Sehenswert.

Ähnliche Artikel:

1. MySpace bietet OpenID an – aber nur als Provider
2. OpenID-Wettrennen
3. OpenID, mehr als Single sign on?